− 第5回 −

内外からの不正侵入のメカニズムと
その防止策その3 アクセスコントロール
ポリシーに合わせたアクセス制御で社内情報の不正利用や漏えいを防止

クラス分けによるアクセス制御で きめ細かなアクセス制御が可能

　社内のポリシーをネットワークシステムに反映させ、アクセスの条件ごとにどのような操作を許すのか。そういったネットワーク機器の動作を規定するのが、アクセスコントロールリスト（ACL）です。ACLはIPアドレスやポート番号などを指定してパケットの通過やシステムに対するアクセスの可否を設定するもので、ファイアウォールやルーター、スイッチなどのネットワーク機器に実装されています。

　アクセス要求時にACLのルールを照合して、ルールに合致していれば通過を許可し、合致していなければパケットを遮断、廃棄するといった制御により不正侵入を防御することができます。Webサーバを公開する場合、ファイアウォールのACLにWebアクセス用のHTTPのみ通過させるといった設定をすることにより、許可していない他のアプリケーションに対するアクセス制限が可能になります。

　さらにユーザーやグループのクラス分けによるアクセス制御も一般的に行なわれています。認証情報をもとにシステムを利用するユーザーごとに異なるルールを適用できるので、きめ細かなアクセス制御が行えます。例えばRADIUS認証サーバなどと連携させ、社員にはワンタイムパスワードやデジタル証明書などの認証方法を用いて社内の各種アプリケーションへのアクセスを許可する一方、パスワード認証のみの取引先はWebサーバへのアクセスを許可するといった仕組みも可能です。

　また、営業担当者などが社外から社内システムへアクセスする機会も増えています。外出先からタイムリーに商品の在庫を検索したり、業務のスケジュールを確認するなど、モバイルの活用でユーザーの利便性が増しているのです。その一方、外出時に公衆無線LANサービスなどを利用する場合は、セキュリティに留意しなければなりません。社内システムに接続するリモート端末のネットワーク環境や、セキュリティの状態に応じて利用できるアプリケーションを制限するなど、きめ細かなアクセス制御が必要になります。

　リモートアクセス手段として注目されるSSL-VPN装置などでは、ユーザーやセッション、アプリケーションごとにアクセスの可否を制御できるタイプが一般的です。さらに不特定多数の人が利用する公衆無線LANサービスなどからのリモートアクセスに対し、PCのキャッシュ情報を消去するなど、第三者による不正侵入を防ぐ機能を備えるタイプもあります。